gpt4 book ai didi

ssl - Nginx 虚拟主机从默认 block 继承 ssl_certificate* 指令?

转载 作者:太空宇宙 更新时间:2023-11-03 13:23:44 25 4
gpt4 key购买 nike

这是我最终要尝试做的事情,为了全面披露:我正在尝试使用带有 SNI 的单个证书在多个虚拟主机上设置 TLS:一个虚拟主机用于顶点,另一个用于单独的主机。也就是说,我想使用相同的证书为 https://example.comhttps://host.example.com 提供服务。两台主机都解析为相同的 IPv4 地址。

我无法理解 Nginx 使用 ssl_certificate* 指令做什么。这些指令仅在默认服务器 block 中定义,但无论如何都会在另一个 block 中“获取”。

我从默认服务器 block 开始到 404。

server {
return 404;
}

正如预期的那样,

$ curl --head http://example.com
HTTP/1.1 404 Not Found
[...]

然后我创建了第一个 example.com block 以将 http 重定向到 apex 上的 https:

server {
listen 80;
server_name example.com;
return 301 https://example.com;
}

这也行:

$ curl --head http://example.com
HTTP/1.1 301 Moved Permanently
[...]
Location: https://example.com

$ curl --head http://host.example.com
HTTP/1.1 404 Not Found
[...]

然后我在 apex 上配置了 TLS:

server {
listen 443 ssl;
ssl_certificate [...];
ssl_certificate_key [...];
server_name example.com;
}

到目前为止,一切顺利:http 重定向到 https,并且 https 正常工作。

$ curl --head http://example.com
HTTP/1.1 301 Moved Permanently
[...]
Location: https://example.com

$ openssl s_client -connect example.com:443
CONNECTED(00000003)
[...]
---
GET / HTTP/1.1
Host: example.com

HTTP/1.1 200 OK

然后我遇到了一个短暂的障碍。我还没有说过关于 host.example.com 的一句话,但是当我尝试通过 TLS 连接时:

$ curl --head http://host.example.com
HTP/1.1 404 Not Found
[...]

$ openssl s_client -connect host.example.com:443
CONNECTED(00000003)
[...]
---
GET / HTTP/1.1
Host: host.example.com

HTTP/1.1 200 OK
[... content from example.com...]

默认 block 响应 http://host.example.com,这是应该的。但是 https://host.example.com 匹配 https://example.com 的服务器 block 。

所以经过一番摸索之后,我意识到我需要两个默认 block :每个端口一个。

server {
listen 443 ssl;
ssl_certificate [...];
ssl_certificate_key [...];
return 404;
}

确认这是我需要的:

$ openssl s_client -connect host.example.com:443
CONNECTED(00000003)
[...]
---
GET / HTTP/1.1
Host: host.example.com

HTTP/1.1 404 Not Found
[...]

但后来我意识到了一些事情。这就是我的困惑开始的地方。我不应该,也不明白我为什么能够通过 TLS 连接到 example.com:443(或 host.example.com:443),完全

当我为端口 443 创建第二个默认服务器时,我从 https://example.com 的服务器 block 中删除了 ssl_certificatessl_certificate_key 指令.它们仅在默认服务器 block 中定义。

server {
listen 443 ssl;
ssl_certificate [...];
ssl_certificate_key [...];
return 404;
}

server {
listen 443 ssl;
server_name example.com;
# No ssl_certificate* directives!
}

然而,不知何故,当我尝试连接到 https://example.com 时,我在 default 服务器 block 中定义的证书最终被使用了:

$ openssl s_client -connect example.com:443
CONNECTED(00000003)
[...]
---
GET / HTTP/1.1
Host: example.com

HTTP/1.1 200 OK
[...]

而且我还确认在浏览器中访问 url https://example.com 会提供一个实际页面。

因此,https://example.com 的配置似乎是继承来自默认 block 的 TLS 设置,但随后应用来自匹配的服务器 block 的其余设置。这是怎么回事?我已经尝试搜索我能想到的大多数关键字矩阵:“nginx”、“tls”、“ssl”、“vhost”、“默认服务器 block ”、“继承”、“继承”;但我找不到任何东西,文档似乎也没有任何提示。它可能写在某个地方,但我没有找对地方。

添加:

完整配置,这是一个基本的 Debian 安装,与软件包默认值基本没有变化。

user www-data;
worker_processes auto;
pid /run/nginx.pid;
include /etc/nginx/modules-enabled/*.conf;
# above line loads:
# ngx_http_auth_pam_module, ngx_http_geoip_module, ngx_http_image_filter_module, ngx_http_xslt_filter_module, ngx_mail_module, ngx_stream_module

events {
worker_connections 768;
}

http {
sendfile on;
tcp_nopush on;
tcp_nodelay on;
keepalive_timeout 65;
server_tokens off;
include /etc/nginx/mime.types; # nothing unusual in here
default_type application/octet-stream;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; # drop SSLv3
ssl_prefer_server_ciphers on;
access_log /var/log/nginx/access.log;
error_log /var/log/nginx/error.log
gzip on;
gzip_disable "msie6";
include /etc/nginx/conf.d/*.conf; # empty directory, includes nothing
include /etc/nginx/sites-enabled/*; # includes single file which defines server blocks as above
}

基本上就是这样。

再次编辑:

这是完整的服务器配置文件,都在一个地方。

server {
listen 80;
return 404;
}

server {
listen 443 ssl;
ssl_certificate [...];
ssl_certificate_key [...];
return 404;
}

server {
listen 80;
server_name example.com;
return 301 https://example.com;
}

server {
listen 443 ssl;
server_name example.com;
root /srv/www/example.com;
index index.html;
}

有了这个配置,访问https://example.com有效,并使用默认服务器 block 中配置的证书。为什么?

最佳答案

根据 documentation 这实际上是预期的行为:

The SSL connection is established before the browser sends an HTTP request and nginx does not know the name of the requested server. Therefore, it may only offer the default server’s certificate.

解决方案是使用 different IPs :

It should be kept in mind that due to the HTTPS protocol limitations virtual servers should listen on different IP addresses otherwise the first server’s certificate will be issued for the second site.

关于ssl - Nginx 虚拟主机从默认 block 继承 ssl_certificate* 指令?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/40345659/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com